Come posso configurare regole EventBridge per consentire a GuardDuty di inviare notifiche SNS personalizzate per specifici tipi di esito del servizio?

Risoluzione

Prerequisito: crea un topic Amazon SNS. Il topic Amazon SNS deve essere nella stessa Regione AWS del servizio GuardDuty.

Per configurare le regole EventBridge in modo che GuardDuty invii notifiche SNS personalizzate, completa i seguenti passaggi:

1. Apri la console EventBridge.

2. Nella sezione Bus, scegli Regole.

3. Scegli Crea regola, quindi completa i seguenti passaggi per configurare la regola:
   Inserisci un nome e una descrizione.
   Per Router di eventi, scegli Predefinito.
   Per Tipo di regola, scegli Regola con un modello di eventi.

4. Scegli Avanti.

5. In Modello di eventi, completa i seguenti passaggi:
   Per Origine dell'evento, scegli Servizi AWS.
   Per Servizio AWS, scegli GuardDuty.
   Per Tipo di evento, scegli GuardDuty Finding (Esito GuardDuty).

6. Nella sezione di anteprima Modello di eventi, scegli Modifica modello.

7. Nella casella di testo JSON, inserisci il seguente codice:

   {
     "source": ["aws.guardduty"],
     "detail": {
       "type": ["Backdoor:EC2/C&CActivity.B!DNS"]
     }
   }

   Nota: sostituisci Backdoor:EC2/C&CActivity.B!DNS con il tuo tipo di esito. Per verificare il tipo di esito Backdoor:EC2/C&CActivity.B!DNS, esegui una richiesta DNS da un'istanza Amazon Elastic Compute Cloud (Amazon EC2) al dominio di prova guarddutyc2activityb.com. Puoi eseguire il comando dig per Linux o il comando nslookup per Windows. L'esito viene generato in pochi minuti.

8. Scegli Avanti.

9. Per Tipi di destinazione, scegli Servizio AWS.

10. Per Seleziona una destinazione, scegli Argomento SNS.

11. Per Argomento, seleziona il topic.

12. (Facoltativo) Configura un trasformatore di input.
    Nella sezione Trasformatore di input di destinazione, per Percorso di input, inserisci il seguente percorso JSON nella casella di testo:

{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "instanceId": "$.detail.resource.instanceDetails.instanceId",
  "port": "$.detail.service.action.networkConnectionAction.localPortDetails.port",
  "eventFirstSeen": "$.detail.service.eventFirstSeen",
  "eventLastSeen": "$.detail.service.eventLastSeen",
  "count": "$.detail.service.count",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

Per Modello, inserisci il seguente modello di stringa nella casella di testo:

"You have a new GuardDuty alert. View finding in console - https://console.aws.amazon.com/guardduty/home?REGION=#/findings?search=id%3DFINDING_ID "

Nota: nel modello, mantieni lo spazio finale dopo FINDING_ID in modo che le virgolette di chiusura non interrompano l'URL nella notifica SNS. Il percorso di input utilizza attributi specifici dell'esito di GuardDuty. Per ulteriori informazioni sui filtri disponibili, consulta Filtri di proprietà in GuardDuty. Scegli Avanti. (Facoltativo) Aggiungi tag alla regola, quindi scegli Avanti. Controlla i dettagli della regola, quindi scegli Crea regola.

Quando GuardDuty genera il tipo di esito, EventBridge invia la notifica SNS all'endpoint specificato entro 5 minuti. Per configurare le notifiche SNS per tutti i tipi di esiti di GuardDuty, consulta Elaborazione degli esiti di GuardDuty con Amazon EventBridge.

Informazioni correlate

Creazione di regole che reagiscono agli eventi in Amazon EventBridge

Tutorial: usa i trasformatori di input per trasformare gli eventi in EventBridge

Come posso risolvere i problemi relativi alle notifiche Amazon SNS personalizzate di GuardDuty che non vengono consegnate?